Wächter: signaturbasierte Erkennung geht nicht

[The_Preacher 0]

Hallo,

nachdem ich früher in der DemoScene unterwegs war, hab ich mir heute nach langer Zeit wieder einige 4k - 64k Demos heruntergeladen, um sie anzuschauen. Dabei kam mir sehr suspekt vor, dass EAM keine Meldungen brachte, da die Demos ja oft heftigst durch die Packer gejagt werden und der Code oft Ähnlichkeiten mit Malware hat.

Bei einer Demo machte ich dann die Probe aufs Exempel und lud sie auf virustotal hoch. Und siehe da, mindestens 50% (false)positives. Das wäre ja OK gewesen, aber EAM machte bei Virustotal auch den Fund. Warum warnte dann auf meinem PC der Wächter nicht?

Gegengecheckt: Wenn ich die Datei mit "->rechte Maustaste ->Scan with Anti-Malware" scanne, gibt die Ikarus-Engine den "Gen.Trojan!IK" aus.

Der Wächter macht aber gar nix. Ich kann die Datei starten (ist 'ne false positive), kopieren, was auch immer.

Na ja, dachte ich mir, versuchen wir's mit dem Eicar-Test. Auch hier dasselbe. Der Wächter macht nix, nur der On-Demand-Scanner findet was!

Das ist einigermaßen schockierend!

[Fabian Wosar 390]

Welche Wächtersettings verwendest Du? Stable oder Beta Updates?

[The_Preacher 0]

Hallo,

V 5.0.0.84 stable S 6.043.145

Wächter:

Verhaltensanalyse aktiviert und alles ausgewählt (die springt z.B. bei Spielen, die Tastatureingaben simulieren, regelmäßig an).

Der Dateiwächter ist aktiviert, mit "Scanne zusätzlich auch alle Dateien wenn sie erstellt oder veränder werden", sowie Riskware, Unbekannte Malware (Heuristik) und "Schütze den PC auch..."

Einzige Auffälligkeit in den letzten Wochen war, das nach dem Systemstart EAM zwar aktiviert war, aber für das Win7 Security Center erst nochmals deaktiviert und reaktiviert werden musste, um erkannt zu werden.

Eine Besonderheit wären die vielen Ausnahmen, die ich aktivert habe. Natürlich nichts vom Schlage "*.*"...

"OT: Wir sind doch alle die gleichen Freaks, nicht? Um diese Zeit noch vor der Kiste... ;-)"

Edited December 2, 2010 by The_Preacher

[The_Preacher 0]

Achja, die Demo war die "Actuator" von "Conspiracy" von 2009 und Eicar direkt von eicar.org.

[The_Preacher 0]

Anbei die Demo...

[Fabian Wosar 390]

Kannst Du bitte mal die folgenden Befehle auf Konsole als Admin ausführen und die Ausgabe hier posten?

fltmc

sc query a2acc

sc qc a2acc

Ausserdem wäre es nett wenn Du den Emsisoft Registry Key aus Deinem HKLM\Software sowie HKCU\Software Key exportieren und mir per Mail zukommen lassen könntest.

[The_Preacher 0]

Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\system32>fltmc

Filtername                     Anzahl von Instanzen    Höhe    Frame
-----------------------------  --------------------    ----    -----
DefragFS                                                    <Legacy>
a2injectiondriver                       0       328910         0
a2acc                                   9       328900         0
luafv                                   1       135000         0
FileInfo                                9        45000         0

C:\Windows\system32>sc query a2acc

SERVICE_NAME: a2acc
       TYPE               : 2  FILE_SYSTEM_DRIVER
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0

C:\Windows\system32>sc qc a2acc
[sC] QueryServiceConfig ERFOLG

SERVICE_NAME: a2acc
       TYPE               : 2  FILE_SYSTEM_DRIVER
       START_TYPE         : 3   DEMAND_START
       ERROR_CONTROL      : 1   NORMAL
       BINARY_PATH_NAME   : \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2
accx64.sys
       LOAD_ORDER_GROUP   : FSFilter Anti-Virus
       TAG                : 0
       DISPLAY_NAME       : a2acc
       DEPENDENCIES       : FltMgr
       SERVICE_START_NAME :

C:\Windows\system32>

[The_Preacher 0]

HKCU gibt's gar keinen, HKLM schicke ich dir!

[The_Preacher 0]

Ich gehe jetzt mal in die Heia, muss fit sein für morgen Schnee schippen...

Danke einstweilen für deine prompte Rückmeldung, ich melde mich gleich morgen nochmals. Wenn du möchtest könnten wir auch eine Remote-Sitzung aufmachen...

[The_Preacher 0]

Hab' jetzt grad noch einen Test per Remote-Desktop auf einem anderen PC gemacht. Der verhindert die Ausführung von eicar.com sofort, die Demo wird aber auch nur vom on-demand-scanner IK-Signatur erkannt. Weiß nicht, ob das so richtig wäre...

LG und gute Nacht

[The_Preacher 0]

Nochwas:

CWDIllegalInDllSearch=ffffffff ist gesetzt,

EMET mit DEP Application Opt Out, sowie SEHOP Opt Out und ASLR Opt In global, aber natürlich nicht explizit für eure Prozesse, damit es keine Probleme gibt...

[The_Preacher 0]

Ich wär dann wieder verfügbar...

[The_Preacher 0]

Ich habe auch probeweise mal versucht, die Option "Scanne zusätzlich auch alle Dateien, wenn Sie gelesen werden.". Was allerdings überflüssig sein sollte, denn auf dem anderen PC, wo der Wächter zumindest die eicar-Datei sofort findet, ist die Einstellung bis auf viele der Ausnahmen gleich. CWD... ist dort auch auf FF... und EMET ist auch identisch gesetzt.

[Fabian Wosar 390]

Deine zusätzlichen Änderungen am System sind nicht die Ursache des Problems. Das Problem sind Deine Settings. Ich habs mal an den zuständigen Developer weitergeleitet, weil der am ehesten sagen kann was genau mit den Settings nicht stimmt. Das Problem kann bei uns aber reproduziert werden, wenn Deine Settings importiert werden.

[The_Preacher 0]

Ja, ich vermute, die Ausnahmeliste ist einfach zu lang...

[The_Preacher 0]

Frage: soll ich EAM inzwischen neu installieren? Ich möchte euch nicht in den Bugfix reinpfuschen, aber natürlich bin ich auf ein funktionierendes AV-Programm angewiesen...

[Pilis 3]

Ich möchte hier mal kurz anknüpfen: Habe eben auch nach den Registry-Keys geschaut und komischerweise finde ich überhaupt keinen Emsisoft Ordner - weder unter "HKLM\Software" oder "HKCU\Software". Habe die Registry mal komplett nach "Emsisoft" durchsucht. Er findet schon ein paar Sachen, dass diese Ordner jedoch fehlen, finde ich schon merkwürdig.

Ich muss dazu aber auch sagen, dass der EICAR-Virus und die Demo oben bei mir bereits beim Runterladen von Anti-Malware erkannt werden.

Die Ausgabe von "fltmc" sieht bei mir wie folgt aus (die Ausgabe von "sc query a2acc" und "sc qc a2acc" ist genau gleich wie bei "The_Preacher"):

Filtername                     Anzahl von Instanzen    Höhe    Frame
-----------------------------  --------------------    ----    -----
DefragFS                                                    <Legacy>
dc_fsf                                          429998.99   <Legacy>
a2acc                                   5       328900         0
OADevice                                3       323900         0
luafv                                   1       135000         0
FileInfo                                5        45000         0

Meine Specs:

Windows 7 Professional x64

Emsisoft Anti-Malware 5.0.0.84

Emsisoft Online Armor Premium 4.5.1.431 (die Version ohne den Virenscanner)

[Fabian Wosar 390]

Ich möchte hier mal kurz anknüpfen: Habe eben auch nach den Registry-Keys geschaut und komischerweise finde ich überhaupt keinen Emsisoft Ordner - weder unter "HKLM\Software" oder "HKCU\Software".

Die Registry Keys sind auf x64 Systemen virtualisiert. Auf x64 Systemen lautet der korrekte Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Emsi Software GmbH.

[The_Preacher 0]

Hallo,

ich habe heute einige Spiele deinstalliert, die mein Sohn durchgespielt hat und somit nicht mehr verwendet. Nach der Deinstallation habe ich die betreffenden Ausnahmen im Guard gelöscht. Anscheinend ist es doch hauptsächlich die Länge der Liste, die den Unterschied macht. Nun funktioniert der Wächter wieder, und schlägt bei der Eicar-Datei an!

Die beiden HKLM (vorher/nachher) schicke ich dir gerade per PM!

[Christian Mairoll 237]

Wir können das Problem mit zu langer Ausnahmenliste bestätigen. Das heutige Update sollte den Bug beheben.

[The_Preacher 0]

Na wunderbar. Danke für die prompte Rückmeldung!

[The_Preacher 0]

Soo,

heute habe ich mal Mamutu anstatt EAM probiert, um herauszufinden, was den Programmstart auf dem zweiten PC so extrem verlangsamt, z.B. Outlook Startzeit auf über 14 Sekunden, Explorer idem.

Also EAM deinstalliert, Neustart, Mamutu installiert.

Ergebnis: immer noch sehr langsam, vielleicht ein paar Sekunden schneller. Leider war es also nicht die Ikarus-Engine, wie ich vermutet hatte.

Also Mamutu wieder deinstalliert, Neustart, EAM mit Beta-Updates wieder installiert. Und siehe da, alles läuft wieder schnell. Denkste - zu schnell!

Eicar-Testfile heruntergeladen, keine Reaktion vom Wächter, der Scanner hat aber angeschlagen.

Mal nachsehen:

Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\system32>sc query a2acc

SERVICE_NAME: a2acc
       TYPE               : 2  FILE_SYSTEM_DRIVER
       STATE              : 1  STOPPED
       WIN32_EXIT_CODE    : 1077  (0x435)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0

C:\Windows\system32>sc qc a2acc
[sC] QueryServiceConfig ERFOLG

SERVICE_NAME: a2acc
       TYPE               : 2  FILE_SYSTEM_DRIVER
       START_TYPE         : 3   DEMAND_START
       ERROR_CONTROL      : 1   NORMAL
       BINARY_PATH_NAME   : \??\C:\PROGRAM FILES (X86)\MAMUTU\a2accx64.sys
       LOAD_ORDER_GROUP   : FSFilter Anti-Virus
       TAG                : 0
       DISPLAY_NAME       : a2acc
       DEPENDENCIES       : FltMgr
       SERVICE_START_NAME :

C:\Windows\system32>

Tja, die Deinstallation hat definitiv nicht geklappt. Neustarts habe ich immer gemacht, aber das war anscheinend nicht genug.

[The_Preacher 0]

Ich hab's jetzt über die Registry umgebogen, ich hoffe, das reicht aus:

Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\system32>sc query a2acc

SERVICE_NAME: a2acc
       TYPE               : 2  FILE_SYSTEM_DRIVER
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0

C:\Windows\system32>sc qc a2acc
[sC] QueryServiceConfig ERFOLG

SERVICE_NAME: a2acc
       TYPE               : 2  FILE_SYSTEM_DRIVER
       START_TYPE         : 3   DEMAND_START
       ERROR_CONTROL      : 1   NORMAL
       BINARY_PATH_NAME   : \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2
accx64.sys
       LOAD_ORDER_GROUP   : FSFilter Anti-Virus
       TAG                : 0
       DISPLAY_NAME       : a2acc
       DEPENDENCIES       : FltMgr
       SERVICE_START_NAME :

C:\Windows\system32>

Es scheint so zu funktionieren. Hoffe, das wars?

[The_Preacher 0]

Jetzt bin ich auf was interessantes draufgekommen.

Weder die einzelne Deaktivierung der Ikarus-Komponente noch die einzelne Deaktivierung der verhaltensbasierten Erkennung beschleunigt den langsamen Programmstart. Nur das Ein- und Ausschalten des Filter-Treibers oder des kompletten Guard bringt etwas.

Warum? Was ist bei diesem PC so anders, ausser, dass er ein RAID1 hat?

[Fabian Wosar 390]

Wahrscheinlich ist, daß die Revocation Checks für die Zertifikate die Verzögerung auslösen. Genaueres kann ich aber auch nur sagen, wenn ich mir die Maschine mal genauer betrachten könnte. Ließe sich da evtl. eine VNC Verbindung oder so arrangieren?

[The_Preacher 0]

Wahrscheinlich ist, daß die Revocation Checks für die Zertifikate die Verzögerung auslösen. Genaueres kann ich aber auch nur sagen, wenn ich mir die Maschine mal genauer betrachten könnte. Ließe sich da evtl. eine VNC Verbindung oder so arrangieren?

Aber klar doch. Ich schätze ab Montag seit ihr auch wieder im Einsatz, da können wir dann vereinbaren. Muss halt ins Büro, da ich zu dem speziellen PC hauptsächlich per Remote Desktop zugreife, und das verträgt sich laut meiner Erfahrung mit Teamviewer und Co. nicht so gut. Ich würde gerne "Physisch" vor der Kiste sitzen.

[Fabian Wosar 390]

Aber klar doch. Ich schätze ab Montag seit ihr auch wieder im Einsatz, da können wir dann vereinbaren. Muss halt ins Büro, da ich zu dem speziellen PC hauptsächlich per Remote Desktop zugreife, und das verträgt sich laut meiner Erfahrung mit Teamviewer und Co. nicht so gut. Ich würde gerne "Physisch" vor der Kiste sitzen.

Jo. Einfach kurz ne Mail schicken an [email protected] sobald Du Zeit hast.

[The_Preacher 0]

OK, danke, bis Montag!

[The_Preacher 0]

So,

sehr guter Service, muss ich sagen. Das sind mal Entwicker, die sich persönlich um ihr Produkt kümmern. Kompliment!

Herausgefunden haben wir in diesem speziellen Fall den Performance-Verlust durch DLL Scan bei der Ikarus Komponente, der für die Verzögerungen gesorgt hat.

Der verhaltensbasierte Wächter und alles andere haben für keinerlei nennswerte Performanceeinbußen gesorgt. So kann man trotz relativ scharfer Sicherheitseinstellungen trotzdem ungestört arbeiten!

[The_Preacher 0]

Bezüglich der Ausnahme im Dateiwächter (nur Datei- und nicht Verhaltenswächter) für DLL-Dateien, wollte ich nachfragen, ob man diese alternativ zur Einstellung "Scanne nur Dateien mit folgenden Endungen" -> .DLL aus der Dateiliste löschen, nicht auch über "Ausnahmen bearbeiten" -> Typ "Datei" - Eintrag "*.DLL" -> nur Haken bei Dateiwächter konfigurieren kann.

Geschwindigkeitsmäßig ist der Wächter so rasend schnell, und bei verschiedenen Tests schlug der Wächter trotzdem sofort an, also sollte es so auch klappen, nicht?

[Fabian Wosar 390]

Ich bin mir nicht sicher ob der Ausnahme Dialog mit Wildcards korrekt umgehen kann. Muss ich erst die zuständigen Entwickler fragen.

[The_Preacher 0]

Ich bin mir nicht sicher ob der Ausnahme Dialog mit Wildcards korrekt umgehen kann. Muss ich erst die zuständigen Entwickler fragen.

Laut meinen bisherigen Tests müsste es so sein. Natürlich habe ich jetzt nicht per Debugger den Dateifilter untersucht... ;-)

[Fabian Wosar 390]

Wildcards werden in der Whitelist unterstützt laut Aussage des dafür zuständigen Programmierers.

[The_Preacher 0]

OK, danke, kann ich so bestätigen!